Van SSL naar TLS

Het zal eenieder niet ontgaan zijn dat er in 2014 en ook in het begin van 2015 veel beweging is geweest in SSL-land. We hebben een aantal grote en vervelende lekken gezien, die mogelijk het vertrouwen in deze beveiliging hebben geschaad. Ik denk zelf dat deze lekken uiteindelijk een positief effect hebben gehad. Zodoende wil ik je graag meenemen in mijn gedachten hierover en je uitleggen waarom.

Van SSL naar TLS: Heartbleed

Verder lezen

Beveiligingslek Heartbleed gevonden in OpenSSL, maar wat nu?

Beveiligingslek OpenSSL: logo HeartbleedBegin deze week werd bekendgemaakt dat er een groot beveiligingslek in OpenSSL zit, genaamd de ‘Heartbleed bug’. Sindsdien doen allerlei alarmerende verhalen de ronde. Tienduizenden websites zouden onveilig zijn, waardoor het mogelijk is dat grote hoeveelheden privacygevoelige informatie openbaar is gemaakt. Om erger te voorkomen zou iedereen zijn wachtwoorden moeten veranderen! Maar belangrijker nog, bewaar de rust en raak niet in paniek.

Wat doet de Heartbleed bug?

OpenSSL wordt als encryptietechnologie gebruikt om het internetverkeer tussen servers en websites te versleutelen. Hierin is een bug ontdekt die al ruim twee jaar aanwezig blijkt te zijn. De fout zit in een extensie van de versleutelingstechnologie, die door programmeurs ‘Heartbeat’ wordt genoemd, vandaar de naam ‘Heartbleed’. Door deze bug kunnen kwaadwillenden een pakketje sturen naar de server, die vervolgens een pakketje met informatie terugstuurt. Normaal is deze beveiligd en afgesloten, maar dat kan nu worden omzeild. Hoe dit exact in z’n werk gaat, wordt briljant uitgelegd door een illustratie van XKCD.

Beveiligingslek OpenSSL: uitleg hoe Heartbleed werkt

Hoe is Heartbleed ontstaan?

Het lek is in maart 2012 ontstaan, doordat programmeur vergeten is een variabele toe te voegen. De bug werd door hem over het hoofd gezien, terwijl hij juist werkte aan een aantal verbeteringen voor OpenSSL. Zodoende werd de fout tegelijkertijd actief met talloze bugfixes en nieuwe functies die hij toegevoegde. In één van de nieuwe functies miste hij de validatie van een variabele. Zo blijkt uit een interview met de verantwoordelijke programmeur.

Verder lezen